Troubleshooting
Problem
管理者は、外部リソースと通信する必要があるアプリで接続の問題が発生する場合があります。 これにより、これらのアプリが意図したとおりに機能しない、または古い情報が表示されるという問題が発生する可能性があります。 これらのアプリには、QRadar Assistant 、Threat Intelligence 、および Watson Advisor が含まれますが、これらに限定されません。
Symptom
管理者は、以下のような症状が見られる場合があります :
- QRadar Assistant 、Watson 、または Threat Intelligence などのアプリケーションには、X-Force ® Exchange への接続に問題があることを示すバナーが表示される場合があります。
- アプリケーション・コンテナーのログは、外部リソースへの名前解決に問題があることを示しています。
021-03-31 06:21:46,151 [abstract_qpylib.log] [MainThread] [INFO] - 127.0.0.1 [APP_ID/2651] [NOT:0000006000] Proxy.py: make_request: ERROR: HTTPSConnectionPool(host='api.xforce.ibmcloud.com', port=443): Max retries exceeded with url: /lang (Caused by NewConnectionError('<urllib3.connection. VerifiedHTTPSConnection object at 0x7fee7da45510>: Failed to establish a new connection: [Errno -3] Temporary failure in name resolution',)) -
定期的にデータを取得するアプリでは、最近のデータが入力されていません。 例えば、アプリが意図した URL に到達できないため、Threat Intel は新しい IOC が更新されていないことを示しています。
-
opt/qradar/support/recon ps の出力は、I 、J 、K列に対して「 - 」と表示されます。
Cause
この問題の原因は、コンソールまたはアプリホストの iptables または ip6tables のサービスが停止していることです。iptables または ip6tables が動作していない場合、アプリが外部と接続するために必要なルールが利用できなくなるため、アプリが接続を確立できなくなります。
Environment
QRadar 7.3.2+
Diagnosing The Problem
- recon スクリプトの出力をチェックして、I 、J 、K 列が問題を報告しているかどうかを確認します。このスクリプトは、アプリをホストしているボックスで実行する必要があります。
#/opt/qradar/support/recon ps - 同じ recon スクリプトを使用して、問題のあるアプリの docker コンテナーに接続し、アプリケーションがアクセスする予定の URL への curl を試みます ( この例では xforce ) 。
[root@QradarConsole ~]# /opt/qradar/support/recon connect <app_id> sh-4.1# curl -v https://api.xforce.ibmcloud.com * getaddrinfo(3) failed for api.xforce.ibmcloud.com:443 * Couldn't resolve host 'api.xforce.ibmcloud.com' * Closing connection #0 curl: (6) Couldn't resolve host 'api.xforce.ibmcloud.com' - コンソールまたは アプリケーション・ホスト ( 存在する場合 ) からこの URL を解決できることを確認します。
[root@QradarConsole ~]# nslookup api.xforce.ibmcloud.com - コンソールと アプリケーション・ホスト ( 存在する場合 ) で itpables と ip6tables サービスの両方のステータスを確認します。
#systemctl status ip6tables #systemctl status iptables 
Resolving The Problem
この問題を解決するには、管理者は、コンソールとアプリケーション・ホストの両方で iptables または ip6tables が実行されていることを確認する必要があります。 ほとんどの場合、カスタマイズされたルールを追加した結果として、不正なエントリーが原因でサービスの開始が失敗します。 iptables/ip6tables の状況を確認すると、サービスの開始に失敗した理由が示され、構成ファイルに誤った項目がある場合は、問題のある行番号が出力されます。 上記の例では、iptables 構成ファイルの行 23 に無効な項目があることが分かります。
- 以下のファイルにあるカスタム iptable エントリーを確認します。
/opt/qradar/conf/iptables.pre /opt/qradar/conf/ip6tables.pre /opt/qradar/conf/iptables.post /opt/qradar/conf/ip6tables.post - 上記のファイルで不正なエントリーが特定された場合は、それを修正するかコメント・アウトしてから、次のコマンドを実行して iptables を再ロードします。
#/opt/qradar/bin/iptables_update.pl - itpables と ip6tables サービスの両方のステータスを確認し、両方が実行されていることを確認します。
#systemctl status ip6tables ● ip6tables.service - IPv6 firewall with ip6tables Loaded: loaded (/usr/lib/systemd/system/ip6tables.service; enabled; vendor preset: disabled) Active: active (exited) since Tue 2021-05-04 10:37:18 EDT; 2h 20min ago Main PID: 1047 (code=exited, status=0/SUCCESS) Tasks: 0 Memory: 0B CGroup: /system.slice/ip6tables.service #systemctl status iptables ● iptables.service - IPv4 firewall with iptables Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled; vendor preset: disabled) Drop-In: /etc/systemd/system/iptables.service.d └─start_post_override.conf Active: active (exited) since Tue 2021-05-04 10:37:17 EDT; 2h 19min ago Main PID: 882 (code=exited, status=0/SUCCESS)
カスタムiptableルールを適切に追加する方法の詳細については、Configuring iptables rules を参照してください。
Related Information
Document Location
Worldwide
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt3AAA","label":"QRadar Apps"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"}]
Was this topic helpful?
Document Information
Modified date:
19 May 2023
UID
ibm16970263